Dynamiczny sql i problemy z nim związane - bezpieczeństwo baz danych


Metoda jest prosta. Opiera się na wiedzy, że to co wpisujemy w pola formularza jest tekstowo wstawiane do zapytań sqlowych.
Rozważmy następujący formularz:


Podaj login:

Podaj hasło:




Najprostszy skrypt, który obsługuje taki formularz miałby kawałek kodu w stylu:
$sql=select * from users where login = '$login' and password = '$password';.
Służyłby on do zliczania liczby pasujących rekordów w bazie. Użytkownik jest wpuszczany, gdy liczba zwróconych rekordów jest większa od 0.


dalej